Mikrotik ochrana proti MAC clonu

[Dr.Who]

Ahoj,
mam MK kde bezi hotspot. Jenomze se mi stava, ze si uzivatele clonuji MAC adresy a sdili svoje username/passwd. Je nejaka moznost jak znemoznit clonovani nebo jak jim aspon stizit obejiti MAC, username / passwd kontroly?

[Reklama]

[Dr.Who]

Princip je takovy, ze si do site uzivatel pripoji router. Za routerem provede uzivatel autorizaci a pak se muzou vsichni vesele pripojovat pod NATem

[ES]

NAT se da detekovat. klonovani MAC ne zabranit neda/

[Dr.Who]

NAT se da detekovat. klonovani MAC ne zabranit neda/

Muzes to prosim popsat nejak blize?

[David1234]

A proč by si uživatel nemohl naklonovat adresu? Věřím tomu, že strávíš spoustu času hledáním řešení, které stejně nikdy nebude 100% účinné..

[Reklama]

[ZAJDAN]

co mě napadá tak minimálně udělat static ARP a svázat MAC ke konkrétní IP, ale v případě, že správnou kombinaci nasadí i 'klient' klonování se nepůjde ubránit, jedině detekovat NAT podle TTL? nejspíše a na to nasadit nějaké firewal pravidlo

[Dr.Who]

to s tim TTL .... je asi zatim "nejzivejsi"

Akorat nevim jak teda rict ktera TTL je pro detekci nejschudnejsi :/
Protoze kazdej server ji ma podle pingu jinou.

[Lol Phirae]

A proč ten hotspot normálně nezrušíš?

[crown]

Kdyz si nekdo koupi internet konektivity, tak si muze klidne zapojit router a pod nej 50 pocitacu (svych, ne souseda).
Kdyby se poskytovatel branil, tak jdu k jinemu.

TTL muze router upravovat taky, takze to jen o neco ztizis. Dale se muze router pripojit pres VPN nekam jinam a s tim uz neudelas vubec nic a ani to nepoznas.

Taky muzes delat nocni prepadovky a fyzicky u uzivatele spocitat pocitace.

[M.]

to s tim TTL .... je asi zatim "nejzivejsi"

Akorat nevim jak teda rict ktera TTL je pro detekci nejschudnejsi :/
Protoze kazdej server ji ma podle pingu jinou.

Ptákovina s TTL se obvykle používá tak, že na tom hotspotu nastavíš paketům odcházejícím ke klientům pomocí  /ip/firewall/mangle change TTL na hodnotu 1. Přímo připojený počítač to zpracuje a přijme. Navíc vložený router do cesty paket s TTL=1 už zlikviduje a nepustí dál.
Funguje to samozřejmě do okmažiku, než si toho dotyčný všimne a na svém "pirátském routeru" použije stejnou funkci pro navýšení hodnoty TTL v prerouting. :-)

[ZAJDAN]

mozna chypu potrebu proc tomu zabranit....hotspot je preci 'vetsinou' verejny bod a poskytuje se pro docasne pripojeni a ne permanentni spojeni kdy si tam nekdo povesi router

tu detekci bych provadel asi linuxovou stanici, protoze tam dokazes videt na tom jednom spiji pekne rozdilna ID co bude jasna identifikace, ze je tam vice stroju
na mikrotiku bude potreba napsat nejakej script, protoze standardni cestou jde jen manglovat pakety na parametr TTl (is equal, is greater, is lower, etc) a k tomu se pak vytvori action.

[ZAJDAN]

Ptákovina s TTL se obvykle používá tak, že na tom hotspotu nastavíš paketům odcházejícím ke klientům pomocí  /ip/firewall/mangle change TTL na hodnotu 1. Přímo připojený počítač to zpracuje a přijme. Navíc vložený router do cesty paket s TTL=1 už zlikviduje a nepustí dál.
Funguje to samozřejmě do okmažiku, než si toho dotyčný všimne a na svém "pirátském routeru" použije stejnou funkci pro navýšení hodnoty TTL v prerouting. :-)

presne tak...touto technikou nezjistujes NAT v ceste, ale rovnou likvidujes :_)
- jedna technika je NAT zjistovat
- druha pak NAT znemoznovat

[Dr.Who]

Dekuju za tip

Tak uz na kazdem hostu konci TTL=1 tak pokud by tam sedel router tak hostu doje TTL=expired
Podle MAC adres co sem nasel jde o TP-linky a ty snad nemaji moznost zmeny TTL

[Zopper]

mozna chypu potrebu proc tomu zabranit....hotspot je preci 'vetsinou' verejny bod a poskytuje se pro docasne pripojeni a ne permanentni spojeni kdy si tam nekdo povesi

Je lepší trvalý uživatel, co tahá pár webových stránek a emailů ze svých pár zařízení, nebo uživatel, který sice žádný nat nedává, připojuje se jen jedním zařízením - ale zato má premium na uloz.to či jede torrenty? Podle toho, že OP poskytuje login a heslo každému uživateli zvlášť soudím, že to je spíš nějaká síť pro stálejší provoz (třeba připojení na ubytovacím zařízení), než wifi v kavárně. Tohle čistě hádám podle toho, co za sítě jsem viděl...

Každopádně ale otázka pro Dr.Who: jak to je když si chci třeba na tu síť připojit notebook i smartphone? Nenutí uživatele k používání natu právě nějaké takovéto omezení?

[crown]

Dekuju za tip

Tak uz na kazdem hostu konci TTL=1 tak pokud by tam sedel router tak hostu doje TTL=expired
Podle MAC adres co sem nasel jde o TP-linky a ty snad nemaji moznost zmeny TTL

Na hodne TP-linkach jde nahrat OpenWRT, ale samozrejme to neda kazdy (router/uzivatel)